- •Часть 3. Технологии защиты информационных ресурсов
- •Глава 11. Введение в защищенные виртуальные частные сети
- •11.1. Концепция построения защищенных виртуальных частных сетей vpn.
- •11.1.1. Функции и компоненты сети vpn
- •11.1.2. Сервисы безопасности сети vpn
- •Аутентификация абонентов
- •Обеспечение конфиденциальности, целостности и аутентичности передаваемой информации
- •11.2. Класcификация виртуальных частных сетей vpn
- •11.2.1. Классификация vpn по рабочему уровню модели osi.
- •Vpn канального уровня.
- •Vpn сетевого уровня
- •Vpn сеансового уровня
- •11.2.2. Классификация vpn по архитектуре технического решения
- •11.2.3. Классификация vpn по способу технической реализации
- •Vpn на основе сетевой ос.
- •Vpn на основе маршрутизаторов
- •Vpn на основе межсетевых экранов.
- •Vpn на основе программного обеспечения
- •Vpn на основе специализированных аппаратных средств со встроенными шифропроцессорами.
- •11.3. Vpn-решения для построения защищенных корпоративных сетей
- •11.3.1. Основные варианты vpn-решений
- •11.3.2. Vpn на базе сетевых операционных систем
- •11.3.3. Vpn на базе маршрутизаторов
- •11.3.4. Vpn на базе межсетевых экранов
- •11.3.4. Vpn и требования законодательства
- •11.3.5. Vpn-продукты российских производителей
- •Криптографический комплекс шип
- •Vpn продукты застава
- •11.3.6. Что выбрать?
- •11.4. Технические и экономические преимущества внедрения технологий vpn в корпоративные сети
11.2.3. Классификация vpn по способу технической реализации
По способу технической реализации различают следующие группы VPN:
VPN на основе сетевой операционной системы;
VPN на основе межсетевых экранов;
VPN на основе маршрутизаторов;
VPN на основе программных решений;
VPN на основе специализированных аппаратных средств со встроенными шифропроцессорами.
Vpn на основе сетевой ос.
Реализацию VPN на основе сетевой ОС можно рассмотреть на примере операционной системы Windows NT. Для создания VPN компания Microsoft предлагает протокол PPTP, интегрированный в сетевую операционную систему Windows NT. Такое решение выглядит привлекательно для организаций, использующих Windows в качестве корпоративной ОС. В сетях VPN, основанных на Windows NT, используется база данных клиентов, хранящаяся в контроллере PDC ( Primary Domain Controller ). При подключении к PPTP-серверу пользователь авторизуется по протоколам PAP, CHAP или MS-CHAP. Для шифрования применяется нестандартный фирменный протокол Point-to-Point Encryption c 40-битным ключом, получаемым при установлении соединения.
В качестве достоинства следует отметить, что стоимость решения на основе сетевой ОС значительно ниже стоимости других решений.
Недостаток данной системы - недостаточная защищенность протокола PPTP.
Vpn на основе маршрутизаторов
Данный способ построения VPN предполагает применение маршрутизаторов для создания защищенных каналов. Поскольку вся информация, исходящая из локальной сети, проходит через маршрутизатор, то вполне естественно возложить на него и задачи шифрования.
Пример оборудования для VPN на маршрутизаторах — устройства компании Cisco Systems. Начиная с версии программного обеспечения IOS 11.3(3)T маршрутизаторы Cisco обслуживают протоколы L2TP и IPSec. Помимо простого шифрования информации Cisco реализует и другие функции VPN, такие, как идентификация при установлении туннельного соединения и обмен ключами. Для повышения производительности маршрутизатора может быть использован дополнительный модуль шифрования ESA (Encryption Service Adapter).
Vpn на основе межсетевых экранов.
Межсетевые экраны большинства производителей содержат функции туннелирования и шифрования данных. В основе такого решения лежит простое соображение - поскольку информация проходит через межсетевой экран, то почему бы ее заодно не зашифровать. К программному обеспечению собственно межсетевого экрана добавляется модуль шифрования.
Недостатками этого метода являются высокая стоимость решения в пересчете на одно рабочее место и зависимость производительности от аппаратного обеспечения, на котором работает межсетевой экран. При использовании межсетевых экранов на базе ПК надо помнить, что подобное решение подходит только для небольших сетей с небольшим объемом передаваемой информации.
В качестве примера решения на основе межсетевых экранов можно назвать продукт FireWall-1 компании Check Point Software Technologies.
Vpn на основе программного обеспечения
Для построения сетей VPN применяются также программные решения. При реализации такого решения используется специализированное ПО, работающее на выделенном компьютере и в большинстве случаев выполняющее функции сервера-посредника (proxy). Компьютер с таким программным обеспечением может быть расположен за межсетевым экраном.
В качестве одного из примеров программных решений можно указать пакет AltaVista Tunnel 97 компании Digital. При использовании этого ПО клиент подключается к серверу Tunnel 97, регистрируется на нем и обменивается ключами. Шифрование производится на базе 56- или 128-битовых ключей шифра RC 4. Зашифрованные пакеты инкапсулируются в другие IP-пакеты, которые и отправляются на сервер. При работе сервер Tunnel 97 проверяет целостность данных по алгоритму MD5. Кроме того, каждые 30 мин система генерирует новые ключи, что значительно повышает защищенность соединения.
Достоинства пакета AltaVista Tunnel 97 — простота установки и удобство управления. Недостатками этой системы можно считать нестандартную архитектуру (собственный алгоритм обмена ключами) и низкую производительность.